Стандартные ошибки: Метод DCV с практической демонстрацией HTTP

Для проверки вашего домена с использованием метода DCV с практической демонстрацией HTTP DigiCert предоставляет вам URL-адрес и значение токена. URL-адрес выполняет две функции:

  • Он содержит FQDN (полное доменное имя) домена, который мы должны проверить по вашему требованию.
  • Он информирует нас о том, где мы должны искать verificationtoken.txt, к которому вы добавите случайным образом генерированное значение.

Ниже рассматриваются некоторые стандартные проблемы, с которыми мы столкнулись при поиске и устранении причины ошибок при проверках с использованием практической демонстрации HTTP. Процесс DCV с использованием практической демонстрации HTTP разработан в целях предотвращения использования неавторизованными лицам домена, которым они управляют, для проверки и получения сертификата для домена, которым они не управляют, например, одним из нас.

Не изменяйте предоставленный вам URL-адрес

Если вы каким-либо образом изменили URL-адрес (изменили FQDN, воспользовались вместо строчной буквы прописной, забыли добавить точку и т. д.), мы не сможем найти файл verificationtoken.txt, содержащий сгенерированное нами случайным образом значение.

Например, если мы указываем вам следующий URL-адрес: [http://yourdomain.com]/.well-known/pki-validation/verificationtoken.txt, не добавляйте к нему www ([http://www.yourdomain.com]/.well-known/pki-validation/verificationtoken.txt) и не заменяйте на прописные какие-либо буквы, которые не являются прописными в исходном URL-адресе ([http://yourdomain.com]/.well-known/PKI-validation/verificationtoken.txt).

Не помещайте verificationtoken.txt в другой домен или субдомен

Для завершения подтверждения управления доменом для yourdomain.com поместите файл verificationtoken.txt именно в том домен, который вы хотите проверить; это домен, для которого мы сгенерировали URL-адрес. Мы не будем просматривать другие домены или субдомены для поиска нашего случайным образом сгенерированного токена. Мы будем просматривать только домен, который вы хотите проверить (например, домен, указанный в вашем заказе сертификата).

Например, если вы хотите проверить yourdomain.com так, чтобы можно было отправить запрос на сертификаты TLS/SSL для данного домена, мы генерируем URL-адрес для данного домена –[http://yourdomain.com]/.well-known/pki-validation/verificationtoken.txt. Не помещайте файл verificationtoken.txt в субдомен sub.yourdomain.com, а также не изменяйте URL-адрес и не помещайте его в yourotherdomain.com – это не будет работать. Мы не сможем найти файл verificationtoken.txt в данных доменах – только в yourdomain.com.

yourdomain.com и www.yourdomain.com

Если вы хотите, чтобы мы проверили www.yourdomain.com и yourdomain.com, поместите файл verificationtoken.txt в yourdomain.com. При этом будут проверяться оба домена yourdomain.com и www.yourdomain.com. Мы не будем просматривать www.yourdomain.com, чтобы найти файл verificationtoken.txt.

Бесплатное доменное SAN

Если вы получили бесплатное доменное SAN в вашем сертификате SSL, вы должны поместить файл verificationtoken.txt в базовый домен. Мы должны проверить домен, указанный в заказе сертификата SSL.

Не включайте какой-либо дополнительный контент в файл verificationtoken.txt

При создании файла verificationtoken.txt скопируйте значение токена, предоставленное DigiCert, и вставьте его в файл. Не добавляйте слово "токен" или какой-либо другой текст.

Поскольку мы осуществляем чтение только первых 2 кБ файла verificationtoken.txt, дополнительный текст будет мешать выполнению нами подтверждения управления вами доменом.

Не помещайте файл verificationtoken.txt на страницу с множественными переадресациями

При использовании метода практической демонстрации HTTP Practical Demonstration для проверки домена файл verificationtoken.txt можно поместить на страницу, на которой имеется не более одной переадресации. При наличии одной переадресации мы сохраняем способность обнаружения файла verificationtoken.txt и подтверждения вашего управления доменом.

Например, вам требуется сертификат для http://example.com, но страница выполняет переадресацию на https://www.example.com. Это нормально. Можно поместить файл verificationtoken.txt на страницу http://example.com. Мы сможем выполнить одну переадресацию и подтвердить ваше управление доменом http://example.com.

Однако если вы разместите файл verificationtoken.txt на странице с множественными переадресациями, мы не сможем найти такой файл. Множественные переадресации не позволяют нам определить местонахождение файла verificationtoken.txt и подтвердить ваше управление доменом.

Например, вам требуется сертификат для http://multiple-redirect.com, но страница выполняет переадресацию на https://www.multiple-redirect.com, а затем переадресацию обратно на https://www.single-redirect.com. В данном случае вы должны просто оставить файл verificationtoken.txt на странице http://multiple-redirect.com. При этом вам необходимо запретить вторую переадресацию (https://www.single-redirect.com) на достаточно продолжительное время, чтобы мы могли найти файл verificationtoken.txt и подтвердить ваше управление доменом http://multiple-redirect.com.